Differenze tra le versioni di "TCS"
Jump to navigation
Jump to search
| (Una versione intermedia di uno stesso utente non è mostrata) | |||
| Riga 1: | Riga 1: | ||
__TOC__ | __TOC__ | ||
| − | ==Certificati personali e Grid== | + | ==Certificati personali e Grid (aggiornato a Maggio 2020)== |
| − | Per gli Enti che hanno aderito al nuovo servizio '''TCS''' erogato da GEANT/ | + | Per gli Enti che hanno aderito al nuovo servizio '''TCS''' erogato da GEANT/Sectigo e offerto da GARR alla propria comunità (https://ca.garr.it/TCS) è possibile attivare il servizio di rilascio certificati personali e per GRID. Condizione necessaria per fruire dei due servizi è di aver aderito a '''IDEM''' ed avere un '''Identity Provider''' incluso in federazione. |
| − | + | Il portale per la richiesta self-service dei certificati personali (client certificate), personali IGTF (email e robot) è https://cert-manager.com/customer/garr/idp/clientgeant | |
| − | + | L'accesso è possibile solo tramite autenticazione federata con [https://www.idem.garr.it IDEM] e previa configurazione dell'Identity Provider istituzionale. | |
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | == | + | ===Configurazioni=== |
| + | <u>Configurare la richiesta di ''certificati personali''</u> | ||
| + | |||
| + | *L'Identity Provider deve rilasciare un determinato insieme di attributi al Service Provider Sectigo. Dettagli nella sezione '''Configurazione SAML''' | ||
| + | *In SCM, selzionare ''Settings,'' ''Organizations,'' selezionare la propria organizzazione e premere il bottone [Edit]. Nella finestra di modifica editare il campo "Academic code (SCHAC Home Organization)" inserendoi il valore stabilito per l'attributo schacHomeOrganization rilasciato dall'Identity Provider. Generalmente coincide con il valore del dominio principale, o ''scope'', ma conviene coordinarsi con l'idp manager. | ||
| + | |||
| + | <u>Configurare anche la richiesta di ''certificati IGTF (grid)''</u> | ||
| + | |||
| + | *In SCM modificare all'interno di ''Settings,'' ''Organizations, Edit'' il campo "Secondary Organization Name" prestando attenzione che contenga solo caratteri ASCII e che sia identico al campo O eventualmente usato in precedenza per i certificati grid con Digicert (in caso di dubbio consultare il portale Digicert per controllo). ''Dato che il subject dei certificati grid è usato come "username" è fondamentale che questo rimanga inalterato per non causare problemi di accesso alla grid per gli utenti.'' | ||
| + | *Aprire un ticket a <[mailto:garr-ca@garr.it garr-ca@garr.it]> per chiedere agli amministratori MRAO di far partire la validazione del "Secondary Organization Name" | ||
| + | |||
| + | == Configurazione SAML == | ||
Le organizzazioni che intendono abilitare il proprio Identity Provider anche per la richiesta dei client certificate tramite <u>il portale self-service via SAML</u> devono rilasciare i seguenti attributi al Service Provider di Sectigo (entityID = <code><nowiki>https://cert-manager.com/shibboleth</nowiki></code>): | Le organizzazioni che intendono abilitare il proprio Identity Provider anche per la richiesta dei client certificate tramite <u>il portale self-service via SAML</u> devono rilasciare i seguenti attributi al Service Provider di Sectigo (entityID = <code><nowiki>https://cert-manager.com/shibboleth</nowiki></code>): | ||
| Riga 26: | Riga 31: | ||
*eduPersonEntitlement (<nowiki>urn:oid:1.3.6.1.4.1.5923.1.1.1.7</nowiki>) con valore <code><nowiki>urn:mace:terena.org:tcs:personal-user</nowiki></code> | *eduPersonEntitlement (<nowiki>urn:oid:1.3.6.1.4.1.5923.1.1.1.7</nowiki>) con valore <code><nowiki>urn:mace:terena.org:tcs:personal-user</nowiki></code> | ||
| − | Di seguito un esempio di configurazione per Shibboleth Identity Provider >= 3.2.0:<syntaxhighlight lang="xml"> | + | Di seguito un esempio di configurazione per '''Shibboleth Identity Provider >= 3.2.0''':<syntaxhighlight lang="xml"> |
<AttributeFilterPolicy id="GARR-TCS-4"> | <AttributeFilterPolicy id="GARR-TCS-4"> | ||
<PolicyRequirementRule xsi:type="Requester" value="https://cert-manager.com/shibboleth"/> | <PolicyRequirementRule xsi:type="Requester" value="https://cert-manager.com/shibboleth"/> | ||
| Riga 54: | Riga 59: | ||
</AttributeRule> | </AttributeRule> | ||
</AttributeFilterPolicy> | </AttributeFilterPolicy> | ||
| − | </syntaxhighlight>e un esempio di configurazione per Shibboleth Identity Provider < 3.2.0:<syntaxhighlight lang="xml+kid"> | + | </syntaxhighlight> |
| + | |||
| + | |||
| + | e un esempio di configurazione per '''Shibboleth Identity Provider < 3.2.0''':<syntaxhighlight lang="xml+kid"> | ||
<AttributeFilterPolicy id="GARR-TCS-4"> | <AttributeFilterPolicy id="GARR-TCS-4"> | ||
<PolicyRequirementRule xsi:type="basic:AttributeRequesterString" value="https://cert-manager.com/shibboleth"/> | <PolicyRequirementRule xsi:type="basic:AttributeRequesterString" value="https://cert-manager.com/shibboleth"/> | ||
Versione attuale delle 10:13, 1 giu 2020
Indice
Certificati personali e Grid (aggiornato a Maggio 2020)
Per gli Enti che hanno aderito al nuovo servizio TCS erogato da GEANT/Sectigo e offerto da GARR alla propria comunità (https://ca.garr.it/TCS) è possibile attivare il servizio di rilascio certificati personali e per GRID. Condizione necessaria per fruire dei due servizi è di aver aderito a IDEM ed avere un Identity Provider incluso in federazione.
Il portale per la richiesta self-service dei certificati personali (client certificate), personali IGTF (email e robot) è https://cert-manager.com/customer/garr/idp/clientgeant
L'accesso è possibile solo tramite autenticazione federata con IDEM e previa configurazione dell'Identity Provider istituzionale.
Configurazioni
Configurare la richiesta di certificati personali
- L'Identity Provider deve rilasciare un determinato insieme di attributi al Service Provider Sectigo. Dettagli nella sezione Configurazione SAML
- In SCM, selzionare Settings, Organizations, selezionare la propria organizzazione e premere il bottone [Edit]. Nella finestra di modifica editare il campo "Academic code (SCHAC Home Organization)" inserendoi il valore stabilito per l'attributo schacHomeOrganization rilasciato dall'Identity Provider. Generalmente coincide con il valore del dominio principale, o scope, ma conviene coordinarsi con l'idp manager.
Configurare anche la richiesta di certificati IGTF (grid)
- In SCM modificare all'interno di Settings, Organizations, Edit il campo "Secondary Organization Name" prestando attenzione che contenga solo caratteri ASCII e che sia identico al campo O eventualmente usato in precedenza per i certificati grid con Digicert (in caso di dubbio consultare il portale Digicert per controllo). Dato che il subject dei certificati grid è usato come "username" è fondamentale che questo rimanga inalterato per non causare problemi di accesso alla grid per gli utenti.
- Aprire un ticket a <garr-ca@garr.it> per chiedere agli amministratori MRAO di far partire la validazione del "Secondary Organization Name"
Configurazione SAML
Le organizzazioni che intendono abilitare il proprio Identity Provider anche per la richiesta dei client certificate tramite il portale self-service via SAML devono rilasciare i seguenti attributi al Service Provider di Sectigo (entityID = https://cert-manager.com/shibboleth):
- eduPersonPrincipalName (urn:oid:1.3.6.1.4.1.5923.1.1.1.6)
- email (urn:oid:0.9.2342.19200300.100.1.3)
- displayName (urn:oid:2.16.840.1.113730.3.1.241)
- givenName (urn:oid:2.5.4.42)
- sn (urn:oid:2.5.4.4)
- cn (urn:oid:2.5.4.3)
- schacHomeOrganization (urn:oid:1.3.6.1.4.1.25178.1.2.9) con valore pari al "Academic code (SCHAC Home Organization)" impostato in SCM
- eduPersonEntitlement (urn:oid:1.3.6.1.4.1.5923.1.1.1.7) con valore
urn:mace:terena.org:tcs:personal-user
Di seguito un esempio di configurazione per Shibboleth Identity Provider >= 3.2.0:
<AttributeFilterPolicy id="GARR-TCS-4">
<PolicyRequirementRule xsi:type="Requester" value="https://cert-manager.com/shibboleth"/>
<AttributeRule attributeID="eduPersonPrincipalName">
<PermitValueRule xsi:type="ANY"/>
</AttributeRule>
<AttributeRule attributeID="email">
<PermitValueRule xsi:type="ANY"/>
</AttributeRule>
<AttributeRule attributeID="displayName">
<PermitValueRule xsi:type="ANY"/>
</AttributeRule>
<AttributeRule attributeID="givenName">
<PermitValueRule xsi:type="ANY"/>
</AttributeRule>
<AttributeRule attributeID="surname">
<PermitValueRule xsi:type="ANY"/>
</AttributeRule>
<AttributeRule attributeID="commonName">
<PermitValueRule xsi:type="ANY"/>
</AttributeRule>
<AttributeRule attributeID="schacHomeOrganization">
<PermitValueRule xsi:type="ANY"/>
</AttributeRule>
<AttributeRule attributeID="eduPersonEntitlement">
<PermitValueRule xsi:type="ValueRegex" regex="^urn:mace:terena.org:tcs:.*$" />
</AttributeRule>
</AttributeFilterPolicy>
e un esempio di configurazione per Shibboleth Identity Provider < 3.2.0:
<AttributeFilterPolicy id="GARR-TCS-4">
<PolicyRequirementRule xsi:type="basic:AttributeRequesterString" value="https://cert-manager.com/shibboleth"/>
<AttributeRule attributeID="eduPersonPrincipalName">
<PermitValueRule xsi:type="basic:ANY"/>
</AttributeRule>
<AttributeRule attributeID="email">
<PermitValueRule xsi:type="basic:ANY"/>
</AttributeRule>
<AttributeRule attributeID="displayName">
<PermitValueRule xsi:type="basic:ANY"/>
</AttributeRule>
<AttributeRule attributeID="givenName">
<PermitValueRule xsi:type="basic:ANY"/>
</AttributeRule>
<AttributeRule attributeID="surname">
<PermitValueRule xsi:type="basic:ANY"/>
</AttributeRule>
<AttributeRule attributeID="commonName">
<PermitValueRule xsi:type="basic:ANY"/>
</AttributeRule>
<AttributeRule attributeID="schacHomeOrganization">
<PermitValueRule xsi:type="basic:ANY"/>
</AttributeRule>
<AttributeRule attributeID="eduPersonEntitlement">
<PermitValueRule xsi:type="basic:AttributeValueRegex" regex="^urn:mace:terena.org:tcs:.*$" />
</AttributeRule>
</AttributeFilterPolicy>
Per verificare il rilascio attributi al portale self-service SAML accedere, dopo l'autenticazione, a https://cert-manager.com/Shibboleth.sso/Session
Collegamenti Utili
- Richiesta di un Certificato Personale: https://cert-manager.com/customer/garr/idp/clientgeant
